🗄️ Реестр Windows: Нервная система вашего ПК
Кратко: Реестр Windows — это иерархическая база данных, где хранятся все настройки системы, приложений и оборудования. Это центральная нервная система Windows: любое изменение записывается в реестр. Для специалистов по безопасности — золотая жила: здесь можно найти следы действий, бэкдоры и даже пароли.
▫️ Как устроен (Пять корней) · HKEY_LOCAL_MACHINE (HKLM): Глобальные настройки системы и софта. Самый важный для админов. · HKEY_CURRENT_USER (HKCU): Настройки текущего пользователя (обои, шрифты, параметры софта). · HKEY_USERS (HKU): Все профили пользователей на машине. · HKEY_CLASSES_ROOT (HKCR): Связи типов файлов с программами. · HKEY_CURRENT_CONFIG (HKCC): Информация о текущем профиле оборудования. Где лежат файлы: В папке C:\Windows\System32\config. Самые важные для безопасности — SAM и SECURITY (там хэши паролей и политики доступа).
▫️ Что ищут в реестре Shellbags — когда пользователь открывал папки, даже если их уже нет. Помогает восстановить хронологию действий. Персистенция (автозагрузка) — хакеры прописываются в ключи Run, чтобы программа запускалась при загрузке Windows. Детектится через Event ID 13, 14. Кража хэшей паролей — злоумышленник с правами SYSTEM может сделать дамп кустов SAM и SYSTEM, вытащить хэши паролей. Детектится через reg save или PowerShell. Следы выполнения — UserAssist, BAM, последние файлы рассказывают, что запускалось на компе и когда.
▫️ Как смотреть и анализировать RegEdit — встроенный редактор (regedit.exe). Позволяет смотреть, изменять, экспортировать ключи. RegMon (Sysinternals) — показывает в реальном времени, какие программы к каким ключам обращаются. Полезна, когда нужно понять, что меняет подозрительное приложение. Инструменты для форензики: · Shellbags Explorer — находит и расшифровывает артефакты Shellbags. · EvtxECmd + Timeline Explorer — превращают логи и дампы реестра в читаемые таблицы для таймлайна.
▫️ Безопасность и мониторинг Система мониторинга ловит изменения через Sysmon Event ID 13 и 14 (изменения ключей/значений) и Security Event ID 4663 (доступ к объекту).
Главный вывод: Реестр — не просто база настроек, а архив действий. Если хотите узнать, что делал пользователь — ищите в реестре. Если хотите спрятать код — учтите, что любой ключ автозагрузки засветится в логах. Реестр помнит всё.
